[发明专利]一种流量识别的方法、装置、存储介质及电子设备

说明书

本发明提供了一种流量识别的方法、装置、存储介质及电子设备，其中，该方法包括：预先设置多个特征模型；提取样本流量中的样本特征；确定每个样本特征所对应的特征模型，对特征模型进行训练，并为每个特征模型分配相应的权重值；获取待识别的目标流量，并提取目标特征；根据每个训练好的特征模型的输出以及相应的权重值确定目标流量的综合预测结果，并根据综合预测结果确定目标流量是否为恶意流量。通过本发明实施例提供的流量识别的方法、装置、存储介质及电子设备，对流量的特征进行分类训练检测，可以改善传统AI单模型结果可解释性差的问题；且提高了识别准确率，完整流量或者非完整流量均可进行准确识别，可适用于更多识别场景。

技术领域

本发明涉及流量识别的技术领域，具体而言，涉及一种流量识别的方法、装置、存储介质及电子设备。

背景技术

基于目前的互联网技术研究预测，在2019年，超过80％的企业网络流量将被加密，且主要通过SSL(Secure Sockets Layer，安全套接层)协议进行加密；同时，加密的流量中将隐藏超过50％的恶意网络流量，所以对于恶意加密流量的识别技术的实现迫在眉睫。

目前，对于加密流量的检测是业界的一个难点，AI(Artificial Intelligence，人工智能)技术的发展为加密流量的检测带来了新的解决思路与方法。对于加密流量通过AI进行识别，一般的技术方案是对黑样本与白样本的加密流量进行提取特征，然后根据所提取的全部特征进行模型的训练，使用训练好的模型对加密流量进行检测。但目前这种方案在落地应用的过程中存在两大痛点，一是在现网中AI模型的误报率高，另外是AI模型得到的结果的可解释性较差。

发明内容

为解决上述问题，本发明实施例的目的在于提供一种流量识别的方法、装置、存储介质及电子设备。

第一方面，本发明实施例提供了一种流量识别的方法，包括：

预先设置多个特征模型；获取样本流量，并提取所述样本流量中的一个或多个样本特征；

确定每个所述样本特征所对应的特征模型，并将所述样本特征作为相应的所述特征模型的输入、将所述样本流量的结果标签作为所述特征模型的输出，对所述特征模型进行训练，分别确定每个训练好的所述特征模型，并为每个所述特征模型分配相应的权重值；

获取待识别的目标流量，并提取所述目标流量中的一个或多个目标特征；

将所述目标特征输入至相应的训练好的所述特征模型，根据每个训练好的所述特征模型的输出以及相应的权重值确定所述目标流量的综合预测结果，并根据所述综合预测结果确定所述目标流量是否为恶意流量。

在一种可能的实现方式中，所述提取所述样本流量中的一个或多个样本特征包括：

根据所述样本流量中特征的独立性将所述样本流量的特征分为一个或多个相互独立的样本特征，所述样本特征包括：流特征、客户端握手特征、服务端握手特征、证书特征、服务名标识特征、域名特征或传输协议特征。

在一种可能的实现方式中，所述对所述特征模型进行训练包括：

在第一样本特征和第二样本特征对应同一个特征模型时，将所述第一样本特征作为相应的所述特征模型的输入、将所述样本流量的结果标签作为所述特征模型的输出，对所述特征模型进行训练；同时，将所述第二样本特征作为相应的所述特征模型的输入、将所述样本流量的结果标签作为所述特征模型的输出，对所述特征模型进行训练；

其中，所述第一样本特征和所述第二样本特征为所述样本流量的不同的样本特征。

在一种可能的实现方式中，所述为每个所述特征模型分配相应的权重值包括：

建立权重模型，所述权重模型的未知参数包括待定的权重值；